Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Klient sypie pakietami...
http://forum.freesco.pl/viewtopic.php?f=22&t=15210
Strona 1 z 1

Autor:  viater [ wtorek, 17 kwietnia 2007, 18:08 ]
Tytuł:  Klient sypie pakietami...

... ICMP echo request o długości 65520 B: (fajne, nie ?)
: [/] [] ()
[...] kernel: ARES: IN=eth1 OUT=eth0 SRC=x.x.x.x DST=217.73.202.6 LEN=65520 TOS=0x00 PREC=0x00 TTL=127 ID=19380 PROTO=ICMP TYPE=8 [...]

Oczywiście podejrzewam ARESA, stąd nazwa logów.

Wprawdzie mam:
: [/] [] ()
 iptables -A FORWARD -m length --length 1501:65535 -j DROP

- więc te pakiety nie wychodzą na zewnątrz i nie blokują łącza do Internetu, ale za to generują zajebisty ruch wewnątrz sieci, normalnie ją zapychając. W dodatku obciążenie procka na serwerze skacze do 100%.

Czy poza - przysłowiowymi już - szczypcami z bocznym cięciem, jest jakiś inny sposób na przyblokowanie gościa ? Bo nie chce mi się łazić tam, gdzie wpięty jest jego kabelek...

W tej chwili nasuwa mi się tylko jedno - zablokować gostka w dhcp i arp, żeby nie miał IP w (pod)sieci lokalnej - wtedy w ogóle nie będzie miał dostępu nigdzie.

Jakieś sugestie ?

Autor:  phac [ wtorek, 17 kwietnia 2007, 19:47 ]
Tytuł: 

Mam u siebie goscia z Aresem ale takich logów nie mialem. Może zablokuj aresa.

Autor:  rikardo7 [ wtorek, 17 kwietnia 2007, 20:15 ]
Tytuł: 

ja mam kilku i tez nic takiego nie zauwarzylem co prawda mam problem z uploadem na aresie ale prosby przyciecia uploadu na kompie usera skutkuja pozytywnie :-)

Autor:  -MW- [ wtorek, 17 kwietnia 2007, 21:54 ]
Tytuł: 

iptables -A FORWARD -m length --length 1501:65535 -j REJECT


sterowanie ruchem sieci, chodzac po klientach i ustawiajac wielkosci transferow? to jakas inna metoda htb?
i wszystkie dane w jednym pliku? ...... z adresami zamieszkania :)

Autor:  viater [ wtorek, 17 kwietnia 2007, 22:11 ]
Tytuł: 

Ares czy inny wirus - co za różnica ? Podejrzewam akurat Aresa, bo z tego co mi wiadomo, to właśnie on odpowiada za pakiety o takiej długości, poza tym wiem na 100%, że akurat ten klient z Aresa korzysta...
-MW- pisze:
iptables -A FORWARD -m length --length 1501:65535 -j REJECT

Czy DROP czy REJECT, to i tak jeśli klient bez opamiętania wysyła pakiety z docelowym adresem spoza sieci lokalnej (czyli najnormalniej w świecie flooduje sieć), to i tak muszą one przejść przez sieć, dotrzeć do serwera i zająć mu trochę czasu, zanim znajdą się tam, gdzie jest ta reguła...

-MW- pisze:
sterowanie ruchem sieci, chodzac po klientach i ustawiajac wielkosci transferow? to jakas inna metoda htb?
i wszystkie dane w jednym pliku? ...... z adresami zamieszkania :)

- nie bardzo rozumiem :?:

Autor:  -MW- [ wtorek, 17 kwietnia 2007, 22:24 ]
Tytuł: 

nie bylo to do ciebie.


ile tego ruchu jest? tcp czy udp?

Autor:  viater [ środa, 18 kwietnia 2007, 00:27 ]
Tytuł: 

Nie logowałem wszystkiego, a w tych godzinach, kiedy to było, nie miałem możliwości odpalić iptrafa albo tcpdump. Z tego, co się zalogowało wynikałoby, że są to pakiety ICMP (8), a ruch jest taki (wnioskuję po wykresach mrtg), że wykorzystuje całe pasmo klienta (szczęście, że ma kartę 10Mbit, bo inaczej zatkałby sieć). Po prostu wygląda to tak, jakby klient wysyłał z maksymalną częstotliwością pakiet ICMP (8), co przy długości tego pakietu ponad 65000 B robi taki duży ruch. To mniej więcej tak, jak byś dał jako root z linuxa
: [/] [] ()
ping -i 0.001 -s 65000 $ip_zewn

Autor:  -MW- [ środa, 18 kwietnia 2007, 00:31 ]
Tytuł: 

Cytuj:
W tej chwili nasuwa mi się tylko jedno - zablokować gostka w dhcp i arp, żeby nie miał IP w (pod)sieci lokalnej - wtedy w ogóle nie będzie miał dostępu nigdzie.


ale ruch i tak w kablach bedzie generowal :(

szczypce boczne :)

Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/